Команда дослідників з компанії SafeBreach виявила суттєві недоліки в системі захисту Quick Share, популярного інструменту файлообміну від Google. Експерти встановили, що попередні патчі безпеки, випущені у 2023 році, виявилися неефективними, створюючи потенційні ризики для користувачів системи.
Технічний аналіз вразливостей Quick Share
Quick Share – це багатопротокольна система P2P-файлообміну, що підтримує широкий спектр технологій передачі даних, включаючи Bluetooth, Wi-Fi, Wi-Fi Direct, WebRTC та NFC. Така різноманітність протоколів, хоча й забезпечує гнучкість використання, створює додаткові вектори для потенційних кібератак.
Детальний огляд виявлених вразливостей
Дослідження виявило дві критичні вразливості: CVE-2024-38271 з показником CVSS 5,9 та CVE-2024-38272 з показником CVSS 7,1. Ці вразливості можуть бути використані для проведення атак типу “людина посередині” та віддаленого виконання шкідливого коду на цільових пристроях.
Механізми експлуатації вразливостей
Особливу небезпеку становить можливість проведення DoS-атак через некоректну обробку UTF-8 послідовностей. Додатково виявлено метод несанкціонованого запису файлів шляхом маніпуляції з ідентифікаторами корисного навантаження, що отримав індентифікатор CVE-2024-10668.
Технічні особливості атак
Дослідники продемонстрували, що зловмисники можуть обійти захисні механізми, надсилаючи два пакети PayloadTransfer типу FILE з різним вмістом, але однаковими ідентифікаторами. Система видаляє лише перший файл, залишаючи другий на пристрої жертви, що створює серйозну загрозу безпеці.
Рекомендації щодо захисту
Google випустила оновлений патч безпеки в листопаді 2024 року. Користувачам наполегливо рекомендується оновити Quick Share для Windows до версії 1.0.2002.2, яка містить виправлення всіх виявлених вразливостей.
Цей випадок яскраво демонструє необхідність комплексного підходу до забезпечення кібербезпеки та важливість регулярного оновлення програмного забезпечення. Розробникам рекомендується приділяти більше уваги глибинному аналізу та усуненню корінних причин вразливостей, замість поверхневого латання дір у безпеці.
